W zarządzaniu bezpieczeństwem informacji kluczowe jest testowanie poszczególnych scenariuszy awaryjnych. Jeśli tego nie zrobimy, możemy być pewni, że nasz plan nie zadziała. Niespodziewany kryzys to ostateczny sprawdzian dla skuteczności przygotowanych wcześniej procedur.
Kryzysu nie można przewidzieć, ale można się na niego przygotować. Dlatego każda firma chcąca zabezpieczyć się na tę okoliczność w zarządzaniu informacją powinna przede wszystkim dokonać pogłębionej analizy obszarów, w których mogą wystąpić niespodziewane awarie o poważnych konsekwencjach. Innymi słowy, kluczowe jest zwrócenie uwagi na to, co wpływa na ciągłość przychodów organizacji. Mogą to być np. kanały sprzedażowe albo łańcuchy dostaw. Następnie należy zastanowić się, jakie sytuacje mogą tę ciągłość zakłócić lub wręcz przerwać. Firma powinna więc wyobrazić sobie kilka scenariuszy sprawiających, że nagle nie może sprzedawać swoich produktów czy usług.
Następnie przystępujemy do opracowania planu zapewnienia ciągłości działania. Pierwszy krokiem jest tutaj zdefiniowanie, co rozumiemy pod tym określeniem. Dla niektórych przedsiębiorstw będzie to niezakłócone prowadzenie sprzedaży na takim samym poziomie jak w standardowym okresie, ale już dla innych – utrzymanie przychodów na poziomie pozwalającym uniknąć masowych zwolnień. Po zdefiniowaniu tego pojęcia warto sięgnąć do norm bezpieczeństwa, w których ujęto rozmaite scenariusze, takie jak powódź, brak prądu czy pandemia. W dobrze przygotowanej strategii bezpieczeństwa bierze się pod uwagę zarówno zatrzymanie firmowych procesów, jak też ich spowolnienie. Jednocześnie podczas przygotowywania takich scenariuszy należy koniecznie uwzględnić aspekt finansowy poszczególnych sytuacji. Trzeba więc uczciwie zastanowić się, jaki skutek miałoby np. spowolnienie wszystkich firmowych procesów o połowę – czy oznaczałoby to niewypłacalność firmy i konieczność zwolnień? A jak wpłynęłoby na sytuację firmy nagłe zatrzymanie całej sprzedaży?
Podczas opracowywania strategii bezpieczeństwa takie pytania wymagają odpowiedzi. Na podstawie scenariuszy przedstawionych w normach bezpieczeństwa należy zaplanować, jak zareaguje firma, kiedy się wydarzą. Przygotowanie procedury to jednak nie wszystko, bo koniecznie należy ją testować. Raz na jakiś czas należy więc nagle ogłosić w firmie, że dziś 95% osób pracuje zdalnie. Jeśli nie przetestujemy naszych planów awaryjnych, równie dobrze możemy uznać, że one nie istnieją. Bez wcześniejszych prób w razie prawdziwego kryzysu na pewno nie zadziałają tak, jakbyśmy sobie tego życzyli.
Pisanie planów awaryjnych do szuflady to jeden z najpoważniejszych błędów, jakie popełnia wiele firm w obszarze zarządzania bezpieczeństwem swoich informacji. Drugim jest brak aktualizacji procedur. Nawet najlepsze plany awaryjne mogą zdezaktualizować się nawet po tygodniu. Koniecznie należy sprawdzać ich zgodność z innymi normami obowiązującymi w firmie. Jeśli np. w naszym planie awaryjnym założymy, że w razie kryzysu pracownicy będą pracować zdalnie, a jednocześnie zarząd firmy zakazuje korzystania z prywatnych urządzeń w pracy, to dochodzi do konfliktu i faktycznie procedury bezpieczeństwa nie działają.
Bardzo ważne jest też bieżące testowanie odporności firmy na ataki z zewnątrz, co fachowo nazywa się „testami penetracyjnymi”. Można tu wykorzystać własne zasoby lub skorzystać z usług wyspecjalizowanych firm zewnętrznych. W pierwszym przypadku dzieli się firmowy zespół zajmujący się bezpieczeństwem na dwa mniejsze – określane zwykle kolorami czerwonym i niebieskim. Zadaniem zespołu czerwonego jest np. dostać się do poczty prezesa firmy, a niebieskiego – obrona firmowych danych. Osobiście jestem jednak zwolennikiem modelu hybrydowego i zlecaniem takiego symulowanego ataku firmom zewnętrznym. Należy pamiętać, że pracownicy firmy znają nazwiska odpowiednich osób, mają z sobą kontakt, więc atak symulowany przez osoby z wewnątrz firmy mniej przypomina realne zdarzenia.
Sytuacje kryzysowe zdarzają się wszędzie. Czasem przybierają naprawdę drastyczne formy, ale ich skutki można zminimalizować poprzez przygotowanie odpowiednich scenariuszy działania, które uruchamiamy w sytuacji, gdy nie ma już czasu na zastanowienie.
